快捷搜索:  as  test  1111  test aNd 8=8  test++aNd+8=8  as++aNd+8=8  as aNd 8=8

tyc澳门太阳集团城网址:三种远程连接VPN模式 哪种VPN技术最好



媒介

要经由过程Inte.net来连接分散的中小型企业,这无疑向企业家及其星罗棋布的办公室提出了环球无双的寻衅。本白皮书描述了连接远程事情员工和办公室的3种模式:基于客户真个VPN软件,多个制造商混杂的点对点VPN规划,以及应用集成防火墙的单一制造商规划。

本文对每种模式的优点和毛病都进行了探究。

若治理适合,Internet能极大年夜地前进事情效率,使员工能在最便捷的地方事情--不管他们身处天下各地,照样在同一城市。着实,要建立散播式收集有不少措施。而此中最好的措施便是建立一个集成的体系布局,它不仅能实现安然的远程安装、治理和故障诊断,而且能够精确贯彻你的公司安然策略--所有这些能经久赞助你节省光阴和金钱,为你带来可不雅的投资回报。

将远程站点连接的3种模式综述

防火墙的初始观点异常简单--经由过程限定造访来保护局域网和Internet之间的"界限"。然则,跟着人们对Internet的依附越来越大年夜,与Internet连接的电脑所面临的安然要挟日益严酷。

中小型公司平日不具备实现企业级收集安然性所需的充沛资本,以是在这些要挟眼前显得尤其脆弱。假如你在收集中增加了远程办公室和远程事情职员事情站,未经许可进入小企业收集的可能性还会显明增添。

为了限定破坏,防火墙的保护范围必须扩展到收集上的所有用户--包括直吸收防火墙保护的用户(tyc澳门太阳集团城网址比如在总部上班的人)以及防火墙外部的用户(远程事情职员)。

"虚拟专用收集"(Virtual private network,VPN)规划尤其惹人注目,由于它们能供给一个私有的、像专用租线收集一样的安然性,同时不必付涌现实中拥有这种收集所需的价格。

VPN应用加密技巧将数据搅乱,使其在经由过程Internet传输的时刻处于弗成识别状态,从而在公用收集上供给了保密性。与远程办公室或远程事情职员联网的公司平日都应用VPN来连接多个办公点。

下表展示了连接一个远程站点和公司总部收集的3种模式,并描述了每种模式的主要优点和毛病:

模式

优点

毛病

基于客户真个VPN软件(Mobile User VPN或MUVPN)

价格便宜;可以在容许地道传输的任何地方应用。

不支持远程治理或日志记录;远程系统必须零丁保护。

多个制造商混杂的点到点VPN规划(具有IPSec功能的路由器)

初始投入并不多;可以运用“手头上”的任何器械。许多具备IPSec功能的路由器都具备防火墙的部分功能。

设置设置设备摆设摆设和治理的资源高;必要手动设置地道;日志款式并不通用;诊断问题时,必要整合两个不合的数据集。

集成了防火墙的单一制造商规划

治理用度低廉;集成日志记录、申报和故障诊断tyc澳门太阳集团城网址功能(采纳通用日志款式和计时);统一治理界面/模式;平日供给了额外的功能,比如内容过滤。

初始投入较大年夜,制造商的产品大概不是在全天下都买获得。

表1. 连接远程站点和公司总部收集的3种模式

选择一种VPN规划时要留意的问题

为了理解拥有和运行一个VPN端点所涉及的整个资源和各类可能性,你必要卖力斟酌应用它时的方方面面。假如不这样做,终极可能会导致你投入远超于计划的光阴、精力和金钱。在抉择选择哪一种VPN规划来连接你的远程办公室和收集前,请回答以下几tyc澳门太阳集团城网址个问题:

策略节制:谁在地道的另一端?你宁神让他们造访你的全部受托收集吗?照样,你必要限定他们的造访?

故障诊断:假如远程端呈现故障,扫除故障的难度有多大年夜?

日志记录:终端为防火墙/VPN网关供给了通用日志款式吗?假如没有,那么日志怎么同步?

通信分隔:假如VPN端是在某人家里,那么他们能将公司通信与家庭通信分隔开吗?

身份验证:你如何知道地道上传输的数据是来自员工,而不是来自他的黑客同伙呢?

总体拥有资源(TCO):就本文来说,TCO应包括采购用度(初始购买价格有多高?),支配用度(你的规划在安装时,能否无需在终端安排IPSec专家?),以及掩护用度(你的规划支持远程治理吗?软件若何更新?)。

实施一种VPN规划

MOBILE USER VPN(移动用户VPN,MUVPN)客户端

在上述3种基础选项中,最简单的便是应用零丁的MUVPN客户端。它具有最高的机动性,但在远程治理和故障诊断方面短缺效率。采纳这个模式,远程系统上零丁运行的软件要连接总部VPN网关。对付MUVPN客户真个用户来说,必要经由过程由客户端掩护的地道来对公司的收集进行造访。许多客户端都可以设置设置设备摆设摆设成容许所有通信都经过地道进行。因为所有远程收集通信都返回总部,以是可以将公司tyc澳门太阳集团城网址安然策略轻松地利用于通信。

策略节制

MUVPN平日要么容许,要么禁止:远程站点用户要么能造访你的全部收集,要么就一点都不能造访。只管一样平常环境下可以在客户端上设置设置设备摆设摆设更严格的规则来限定通信,但要是这样做,常常性地掩护那些规则是相称繁杂的工作,而且会增大年夜掩护资源。假如必要限定经由过程地道进行的通信类型,则应斟酌其他规划。

故障诊断

MUVPN客户端必须让非技巧身世的用户也能操作。以是,你必须斟酌到当它出问题的时刻,IT员工若何去办理它。客户端本身不具备远程故障诊断或者治理功能。为了办理问题,你必须应用第三方的远程治理软件。

日志记录

VPN网关和大年夜多半MUVPN客户端都能记录连接信息,这是进行故障诊断的关键。确保两个系统都能接管来自同一个滥觞的光阴同步指令,而且不合的日志款式能够互相转换或兼容。

通信分隔

在大年夜多半支配中,MUVPN客户端都能方便地隔离公司通信和非公司通信。所有公司通信都进行加密,并传送到公司收集;非公司通信则不然。除此之外,和别的两种规划不合,MUVPN客户端险些可以在任何能够上网的地方应用,比如酒店房间、网吧以及只能拨号上网的场所。

身份验证

大年夜多半MUVPN客户端都为所有连接供给了强验证功能。

总体拥有资源(TCO)

MUVPN客户端价格便宜。你的防火墙一样平常已经附带了几份MUVPN客户端许可证。附加的客户端许可证一样平常只需花费20美元/每客户端。

初始支配所发生的用度取决于规划的繁杂性。你应该预留一周的光阴去适应设置设置设备摆设摆设及故障诊断历程。别的,计划每个客户端系统花30~60分钟的光阴来完成实际的安装。

MUVPN客户端本身不必要进行例行掩护。但要记着,MUVPN客户端保护的只是地道中的通信。在最低限度上,客户机必要安装病毒防护软件以及小我防火墙。长光阴更新此中的任何一个法度榜样,都可能会影响MUVPN客户真个机能,由于它们应用的是同一系列的系统资本。恰是斟酌到这种互相依附的特征,以是你应该只管即便避免将MUVPN作为一种永远性的规划来办理远程办公室的连接问题。

小结

假如只有少数人必要在外貌办公,或者确凿必要从随意率性地点连接的能力,那么少数几个MUVPN大概是一种相宜的规划。

具有IPSec功能的第三方防火墙/路由器

互联网的主流利用有大年夜量廉价的、功能较好的防火墙/路由器。这些入门级设备的定价一样平常低于100美元,它们供给了IPSec和防火墙的基础功能,但毛病是未方便进行远程治理、故障诊断、日志记录和内容治理。便宜的初始采购用度异常吸惹人,而且在某些环境下,还会孕育发生较低的总体拥有资源。在一个范例的收集架构中,人们会选择应用一个便宜的防火墙/路由器,经由过程一个手工设置设置设备摆设摆设的IPSec地道来连接主VPN网关。

策略节制

不合的路由用具有不合的能力,这详细取决于IPSec和防火墙软件的集成度有多高。平日,策略节制要在主VPN端点利用,以减小总体支配的繁杂性。从VPN端点到防火墙的所有地道通信都应该在防火墙处被截止(纵然地道本身是开放的),除非专门设置了某个办事,对那种类型的通信放行。

故障诊断

要是远程设备能够从公司总部安然地治理,那么IT部门必须筹备两个不合的治理界面,以便显示两种不合的款式的调试信息。要想对两者进行准确的解释,可能并不轻易。要想取获成功,必须花费大年夜量光阴和精力来进行进修,懂得路由器的特征,以及它若何与主网关进行交互。

日志记录

具有IPSec功能的路由器可能支持、也可能不支持传输日志,而且可能无法供给"调试"级的日志。假如它们支持日志功能,你的员工仍旧必要集成来自两套日志的信息tyc澳门太阳集团城网址。因为光阴同步是调试IPSec问题的关键,以是请确保系统能从同一个滥觞获取光阴信息。 许多设备会将信息记录到syslog(系统日志)中,这是UNIX?采纳的老例款式。虽然syslog既不安然,也弗成靠,但你可以用它来实现跨平台的日志合并。要是设备不支持syslog,那么IT职员必须应用两种申报机制,对两种款式的日志数据进行人工同步处置惩罚。

通信分隔

对付廉价的、具有IPSec功能的路由器来说,极少产品容许在内部分开连接两个自力的物理收集。以是,没有简单的措施确保地道长进行的只是公司内部通信。

身份验证

假如远程办公室便是一个远程事情职员的家,那么必须包管远程员工只经由过程地道造访公司总部的收集。大年夜多半廉价的、具有IPSec功能的路由器都是直接赋予地道造访权限,不支持在此之前的身份验证功能。

总体拥有资源

大年夜多半零售电脑市廛都以约100美元的价格出售具有IPSec功能的路由器。这种设备的初始支配对照费光阴。然则,一旦地道两真个员工都充分理解了IPSec,那么应用起来就会对照顺利。否则,你应该确保供给靠得住的远程治理和故障诊断能力(这不能依附于路由器本身)。假如容许的话,最好先将第三方设备设置设置设备摆设摆设好,再把它拿

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

您可能还会对下面的文章感兴趣: